Jak skonfigurować połączenie VPN do sieci domowej/firmowej?
W poprzedniej części artykułu przedstawione zostały podstawowe zadania przygotowawcze, dotyczące zestawiania połączeń VPN oraz informacje związane z wyborem odpowiedniej technologii VPN. Spróbujemy wykorzystać omówione wiadomości w praktyce. Do realizacji zadania wykorzystamy zbiór protokołów IPSec.
1) Zdalny dostęp - umożliwia zdalny i bezpieczny dostęp klientów do centralnie umieszczonych zasobów sieci przez bramę VPN. Wymaga przeważnie klienta programowego, zainstalowanego na komputerze.
2) Połączenie punkt-punkt - konfiguracja wykorzystywana w przypadku dwóch bram IPSec, łączących sieci znajdujące się w różnych geograficznie lokalizacjach.
Standard IPSec definiuje dwa odmienne protokoły bezpieczeństwa:
1) ESP (Encapsulated Security Protocol) - realizuje zadania uwierzytelniania i szyfrowana informacji.
2) AH (Authentication Header) - realizuje zadania uwierzytelniania, nie szyfruje informacji.
IPSec wykorzystuje szyfrowanie do ochrony informacji przez przechwyceniem lub ingerencją. Aby efektywnie wykorzystać ten mechanizm, oba końce połączenia powinny współdzielić klucz, które jest wykorzystywany zarówno do szyfrowania oraz deszyfrowania informacji. Proces negocjacji parametrów bezpieczeństwa w IPSec przebiega dwufazowo:
1) Faza 1 - przeprowadzana jest negocjacja parametrów bezpieczeństwa, wymagana do ustanowienia bezpiecznego kanału pomiędzy dwoma końcami IPSec. Faza 1 jest przeważnie implementowana przez protokół IKE (Internet Key Exchange). Jeżeli zdalny koniec IPSec nie będzie potrafił wykorzystać IKE, możemy użyć ręcznej konfiguracji z współdzielonymi kluczami (pre-shared keys).
2) Faza 2 - wykorzystywany jest bezpieczny tunel ustanowiony w Fazie 1, w celu wymiany parametrów bezpieczeństwa wymaganych do transmisji danych przez użytkownika.
Późniejsza praca protokołów IPSec bazuje na asocjacji bezpieczeństwa SA (Security Associations), wykorzystywanej przez każdy punkt końcowy. SA opisuje parametry bezpieczeństwa, takie jak typ uwierzytelniania i szyfrowania, którego oba końce połączenia IPSec zgodzą się wykorzystywać. Znajomość przedstawionych mechanizmów będzie konieczna do sprawnego konfigurowania IPSec na różnym sprzęcie sieciowym.
Konfiguracja VPN w oparciu o IPSec zostanie zaprezentowana na przykładzie bramy Cisco UC520 oraz klienta Cisco VPN. W naszym przypadku zrealizujemy połączenie do zdalnej bramy IPSec (Cisco UC520) w domu / firmie. Klient może znajdować się w dowolnej lokalizacji, ale na komputerze powinien mieć zainstalowane oprogramowanie Cisco Systems VPN Client.
Konfiguracja VPN w oparciu o wymienione urządzenia jest bardzo łatwa. Do zarządzania bramą wykorzystamy narzędzie o nazwie CCA (Cisco Configuration Assistant). Z poziomu CCA wybieramy opcję Configure -> Security -> VPN Server. Pojawi się okno konfiguracji serwera VPN. Utworzenie funkcjonującego serwera VPN sprowadza się do konfiguracji kilku opcji:
1) Wybór interfejsu dla serwera VPN.
2) Utworzenie kont użytkowników.
3) Konfiguracja maksymalnej ilości jednocześnie pracujących klientów VPN.
4) Ustawienie współdzielonego klucza (preshared key).
5) Ustawienie zakresu adresów IP, które zostaną przydzielone klientom VPN w momencie przyłączenia.
6) Konfiguracja mechanizmu "split tunneling" - opcji pozwalającej klientowi VPN na dostęp do publicznej sieci oraz sieci lokalnej w tym samym czasie, przy wykorzystaniu tego samego fizycznego połączenia. Możemy wskazać zakres sieci, dla których będzie możliwe wykorzystanie tej opcji.
Konfiguracja serwera VPN na przykładzie bramy Cisco UC520
Kolejnym etapem będzie konfiguracja klienta Cisco Systems VPN Client. Przykład konfiguracji klienta VPN został przedstawiony na rysunku 2. Podajemy nazwę połączenia, adres IP serwera VPN oraz definiujemy grupę. W przypadku UC520 domyślna grupa to EZVPN_GROUP_1. Hasłem grupy będzie wprowadzony w konfiguracji serwera VPN parametr "preshared keys".
Przykład konfiguracji klienta Cisco Systems VPN Client
Utworzone połączenie należy zapisać. Istnieje możliwość konfiguracji kilku połączeń do różnych serwerów VPN. Aby połączyć się z wybraną siecią zdalną, wybieramy i wymuszamy zestawienie odpowiedniego połączenia. Po uwierzytelnieniu grupy, klient zapyta nas o nazwę i hasło użytkownika. Jeżeli dane zostaną potwierdzone, połączenie VPN do sieci domowej/firmowej zacznie działać. W prawym dolnym rogu ekrany kłódka symbolizująca stan połączenia VPN, powinna "zamknąć się", a status połączenia powinien wskazywać "Connected".
Uwierzytelnianie użytkownika VPN
Jak widać na przedstawionym przykładzie zestawianie połączeń VPN jest bardzo łatwe. Większość producentów rozwiązań VPN stosuje podobną praktykę konfiguracji połączeń wirtualnych sieci prywatnych. Wyjątkową sprawą wymagającą trochę większej wiedzy oraz wsparcia producenta, będą połączenia IPSec realizowane przy wykorzystaniu urządzeń różnych producentów.
Komentarze (10)
Panowie co się dziwicie. Autor to kolejna osoba po CCNA szerząca filozofię Cisco gdzie się da.
Panie adhoc, weź się Pan z tym linuxem. Jak Pan chce, może sobie Pan go mieć.
a może by tek przy okazji opisać zasadę działania tranzystora
Cisco UC520-48U-T/E/B-K9 Aktualnie w cenie od 26438,21 zł
VPN nie jest wielką przeszkodą. Fakt faktem na dzień dzisiejszy jest wiele darmowych programów do tworzenia tego typu tuneli pod systemy windows. Wiele routerów w swoim oprogramowaniu ma wbudowane funkcje polegające na połączeniu VPN. Ceny nie przekraczają 600 zł do użytku domowego czy małej firmy. Dla bardziej wymagających, postawienie serwera na linuxie z możliwością postawienia praktycznie za free każdej możliwej aplikacji typu ( ssh,VPN,FTP... ) wiąże się z 2 godzinkami instalacji i konfiguracji. Cena 10.000 zł to zbyt wiele jak na przeciętną firmę w której taka usługa jest wykorzystywana. W wielu aspektach firmy dostarczające usługi internetowe składają oferty umożliwiające połączenia VPN w dość atrakcyjnych cenach. Dla zwykłych zjadaczy chleba prosty serwer czy nie drogi router i troszkę umiejętności pozwoli nam zaoszczędzić pieniądze i czas. Najważniejsze to chęci !
lekka przesada
Teraz to ja juz nic nie wiem. Nie ma jakiejś prostrzej metody połączenia? Gdzie można zdobyć po niższej cenie router CISCO? Czy jest jakis program do skonfigurowania takiego połączenia? Takich pytań po tym artykule mam pełno. Ktoś tu poszedł troche po bandzie i nawypisywał duzo mądrych słów z których zwykły szary użytkownik nic nie zrozumie, a jak już coś wiedział, to teraz nie wie nic!!!
A tak zapytam Kurpina po co ci router cisco na chacie? No bo nie wiem o co ci chodzi.
Nie to już lekka przesada. Panie redaktorze ja wiem ze ma Pan profit od handlowcow Cisco ale wiele firm nie stac na sprzet Cisco zwlaszcza za ok 10000 tys. A moze by tak napisac artykul o firewall na linuksie i zaimplementowanym openVPN, a nie od razu wydawac po 10000 na oddzial, a jak takich oddzialow jest 10 to co.Firma wcale nie musi być super bogata. Nie bójmy sie open source. To nie lata 90.
Kto ma na chacie UC520?
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- MSP: kierunki rozwoju technologii w 2012 roku
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...